Attaques informatiques

Les cybermenaces évoluent avec les transformations numériques

Face à l’évolution des cybermenaces, qui se présentent désormais sous forme de menaces persistantes avancées plus subtiles et dangereuses que les précédentes, à la transformation numérique, source de nouvelles vulnérabilités, et à l’obsolescence de certains systèmes, la sécurité informatique doit sans cesse être adaptée.

Cybersécurité

L'auteur

Revue de l'article

Les entreprises, peu importe leur taille ou leur secteur d’activité, sont dorénavant la cible de menaces persistantes avancées (ou, en anglais, Advanced Persistent Threat – APT), dont le but est d’exfiltrer des informations qui seront revendues ensuite. La plus grande partie du modèle économique de la cybercriminalité repose sur ce constat : ce qui a de la valeur au sein d’une entreprise, ce sont les données. Ce qui semble évident lorsqu’il s’agit de données bancaires. Ces informations peuvent ensuite être revendues à des tiers (concurrents, organisations criminelles…) ou bien à leur propriétaire légitime, dans le cas typique du ransomware.

Les APT sont des menaces beaucoup plus subtiles, intelligentes et dangereuses que les précédentes, qui étaient généralement moins sophistiquées. Elles ont pour caractéristique d’être furtives et continues, ciblant une entité spécifique. Bien que n’étant pas complètement nouvelles (elles sont apparues dans les années 2000), ces pratiques nécessitent une approche différente pour s'en prémunir. La nouveauté fondamentale est qu'elles obligent à un constat alarmant au premier abord : il est impossible de garantir qu'aucun élément du système d'information ne sera jamais compromis. Par conséquent, considérer tout ou partie du système d’information comme une zone de confiance à protéger d’agressions extérieures n’est plus possible, y compris pour les infrastructures opérées en propre.

En quoi consistent plus précisément ces nouvelles menaces ? Le premier point important à comprendre est que la nouveauté ne réside pas dans les aspects purement technologiques de l'attaque. Ces nouvelles attaques mettent en œuvre et utilisent peu ou prou les mêmes outils que les attaques plus classiques : des virus, des vers, des chevaux de Troie, des exploitations de vulnérabilités connues ou non, etc. En revanche, ce qui change, c'est la méthode. Une attaque persistante avancée est architecturée comme un projet, et surtout, elle est ciblée et dispose de moyens. Elle est ciblée, en effet, contrairement aux attaques classiques lancées au hasard en espérant toucher quelques victimes et dont les taux de réussite sont assez faibles, les APT sont élaborées spécifiquement pour une seule victime, choisie et connue à l'avance. Ces attaques disposent également de moyens :

  • moyens en temps, puisque l'objectif est la réussite de l'attaque, peu importe le temps passé pour y arriver ;
  • moyens financiers, permettant de s'adjoindre les compétences de spécialistes du domaine, d'acheter des vulnérabilités non encore divulguées (les fameuses 0-day), de louer les services d'infrastructures malfaisantes permettant de réaliser certaines phases préliminaires de l'attaque (Botnet pour l'envoi de spams, ressources pour dénis de services, plates-formes de génération de code…).

Ces attaques ne font pas exclusivement appel aux moyens techniques pour infiltrer le système d'information de la victime, mais elles utilisent aussi des méthodes issues du renseignement, comme l'ingénierie sociale. Une phase importante dans la préparation de ce type d’attaque consiste à collecter des informations sur la cible, comme par exemple : les composants du système d'information, les sous-traitants de l'entreprise, les services opérés en interne, ceux qui sont externalisés, les différentes personnes de l’entreprise (PDG, DG, DRH, DAF…), leur état civil, leurs centres d’intérêt… Aujourd'hui, à l'ère de la communication universelle et du développement des réseaux sociaux, une bonne part de ces informations sont disponibles très facilement sur Internet. Pour le reste, elles peuvent être obtenues via des phases d'ingénierie sociale auprès de collaborateurs de l'entreprise ou de leurs proches.

Objets connectés

Mais ce qui rend ces attaques encore plus dangereuses, c’est l’évolution des usages. Car les méthodes et moyens d’attaque ne sont pas les seuls à changer. Avec la transformation numérique, c’est la surface d’attaque des entreprises, leur adhérence au numérique, l’incapacité globale et universelle à mener à bien les métiers de l’entreprise sans un système d’information fonctionnel et non compromis, qui augmentent encore de manière drastique l’impact des attaques, et qui amplifient le risque.

Aujourd’hui, les objets connectés s’invitent dans toutes sortes de métiers et d’environnements. De très nombreuses entreprises font appel à ces objets, ne serait-ce que pour collecter des informations, qui seront ensuite traitées dans des environnements de type Big Data. Malheureusement, ces objets connectés n’ont pas été pensés ni conçus avec la composante sécurité dès la conception (security by design) ; l’objectif étant plutôt de produire ces objets en masse à un coût le plus faible possible. Ils sont donc plutôt vulnérables par défaut et comme, de par leur utilisation, ils sont présents en grand nombre au sein du système d’information, ils augmentent de manière très significative la surface d’attaque.

Par ailleurs, concernant les applications bancaires utilisées par les clients pour accéder à leurs comptes et procéder à différents types d'opérations, leur utilisation ne change pas grand-chose pour les banques du point de vue de la stratégie de sécurité. En effet, même si les smartphones et/ou les tablettes constituent des équipements non sécurisés, ils ne le sont ni moins ni plus que n'importe quel équipement utilisé pour accéder à ces applications (ou aux versions en ligne un peu plus anciennes).

En parallèle, il est également important de souligner un point particulier qui contribue à rendre vulnérables les infrastructures et systèmes d’information, notamment bancaires : la gestion de l’obsolescence. Certains sous-ensembles ont des contraintes particulières d’homologation, de robustesse, de certification qui rendent très difficile, voire quasi impossible dans certains cas, de faire évoluer librement ces sous-ensembles, comme par exemple leur appliquer les correctifs de sécurité. Les DAB, par exemple, fonctionnent encore en grande partie sous Windows XP, une version obsolète qui n’est plus supportée par Microsoft.

Vision stratégique

Face aux APT, les défenses traditionnelles de sécurité IT (pare-feu stateful traditionnels, IDS…) sont obsolètes et désormais inadéquates, et les banques ont évolué vers des contre-mesures plus efficaces (pare-feu de nouvelle génération, IPS en mode bloquant, sandboxing, anti-malware, protection des messageries). Il est de plus en plus urgent pour les organisations de reconnaître et d’accepter les risques réels posés par ces menaces avancées et d’adopter une approche multicouche plus moderne et intelligente pour aider à la détection et la résolution des menaces. Le sandboxing, technique utilisée pour détecter et isoler les logiciels malveillants dans un environnement virtuel, sans risquer de voir ce code malveillant infecter le système, est un des outils clés dans cette approche. Mais, au-delà de cette technologie, c’est bien l’approche cybersécurité tout entière qu’il faut repenser afin de la rendre plus intelligente, auto-adaptative et automatisée. Aucune technologie de contre-mesure, quelle qu’elle soit, ne peut permettre de se prémunir de tous les risques et de tous les types d’attaques. C’est un ensemble de fonctions, collaborant ensemble, qui vont permettre d’atteindre l’objectif de protection. Par exemple, la solution de sandboxing va, suite à l’identification d’une menace, non seulement répondre sur le niveau de risque du fichier qui lui a été soumis, mais générer automatiquement une signature anti-malware adaptée qu’elle va diffuser à tous les points de filtrage (passerelles, messagerie, pare-feu de nouvelle génération, poste de travail…) permettant ainsi très rapidement de mettre en œuvre automatiquement des mécanismes de segmentation et de confinement.

Nous voyons ici qu’il s’agit bien d’un écosystème de sécurité qu’il faut déployer, disposant d’une cohérence, d’une cohésion et d’une synergie automatisée entre toutes les fonctions afin d’élever le niveau global de la sécurité et d’apporter au final plus d’intelligence à l’architecture et l’infrastructure de sécurité. La définition de la politique et de la posture de sécurité reste quant à elle de la responsabilité des RSSI [1], CISO [2] et assimilés. Ils devront élaborer un plan d'actions définies, reflétant la vision stratégique de la direction en matière de sécurité des systèmes d'information. Ils ont également un rôle de conseil à jouer auprès de leurs directions générales. Cette politique de sécurité des systèmes d'information est intrinsèquement liée à la sécurité de l'information, elle ne se limite pas à la sécurité informatique. Elle permet de définir les objectifs à atteindre et les moyens accordés pour y parvenir en se basant sur une analyse des risques en matière de sécurité des systèmes d'information. Aujourd'hui, il fait consensus que cette politique de sécurité des systèmes d'information devra intégrer la description et la mise en place des mécanismes de gestion de crise spécifiques (fuite de données, blocage des systèmes…). C'est malheureusement, un point souvent négligé, y compris dans les grandes entreprises.

[1] Responsable de la sécurité des systèmes d’information.

[2] Chief Information Security Officer.

 

Sommaire du dossier

Gérer le risque cyber à l'heure des évolutions réglementaires et digitales

Articles du(des) même(s) auteur(s)

Sur le même sujet